Estandares.
Los estándares de seguridad son una herramienta que apoya la gestión de
la seguridad informática, ya que los ambientes cada vez más complejos
requieren de modelos que administren las tecnologías de manera integral,
sin embargo, existen distintos modelos aplicables en la administración
de la seguridad.
Trusted Computer Security Evaluation Criteria. TCSEC.
El Departamento de Defensa de los Estados Unidos por los años 80’s
(1983-1985) publica una serie de documentos denominados Serie Arco iris
(Rainbow Series). Dentro de esta serie se encuentra el Libro Naranja
(Orange Book) el cual suministra especificaciones de seguridad. Se
definen siete conjuntos de criterios de evaluación denominados clases
(D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro
aspectos de la evaluación: política de seguridad, imputabilidad,
aseguramiento y documentación. Los criterios correspondientes a estas
cuatro áreas van ganando en detalle de una clase a otra, constituyendo
una jerarquía en la que D es el nivel más bajo y A1 él más elevado.
Todas las clases incluyen requisitos tanto de funcionalidad como de
confianza.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "súper usuario"; quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, debido a que no hay forma de distinguir entre los cambios que hizo cada usuario.
- Nivel D (Protección mínima)
- Nivel C1 (Protección Discrecional)
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "súper usuario"; quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, debido a que no hay forma de distinguir entre los cambios que hizo cada usuario.
Por su parte el Information Technology Security Evaluation Criteria
(ITSEC), conformado principalmente por Francia, Alemania y Reino Unido,
crearon su propio estándar de seguridad, al principio de los 90’s, este
se conoce como el Libro Blanco (White Book).
Se definen siete niveles de evaluación, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza útil, y E6 el nivel de confianza más elevado.
La correspondencia que se pretende entre los criterios ITSEC y las claves TCSEC es la siguiente:
Por su parte Canadá en 1993 publico Canadian Trusted Computer Product Evaluation Criteria (CTCPEC).
Estos documentos no satisfacían las exigencias de seguridad de los diversos países involucrados, por lo cual se creó un documento que unificará estos criterios dando origen a los Criterios Comunes.
Se definen siete niveles de evaluación, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza útil, y E6 el nivel de confianza más elevado.
La correspondencia que se pretende entre los criterios ITSEC y las claves TCSEC es la siguiente:
| Criterios ITSEC | Claves TCSEC |
|---|---|
| E0 | D |
| F-C1, E1 | C1 |
| F-C2, E2 | C2 |
| F-B1, E3 | B1 |
| F-B2, E4 | B2 |
| F-B3, E5 | B3 |
| F-B3, E6 | A1 |
Estos documentos no satisfacían las exigencias de seguridad de los diversos países involucrados, por lo cual se creó un documento que unificará estos criterios dando origen a los Criterios Comunes.
ISO 15408 Criterios Comunes (CC).
Los CC (Criterios Comunes) su primer versión surgió en el 96, pero
Europa paralelamente trabajó en un estándar ISO, esto nos regresaba al
problema original, tener criterios diferentes de seguridad dependiendo
del continente en el que se encontrará; para el año 2000 se unificaron
criterios nuevamente dando lugar a un estándar internacional que puede
ser conocido con el nombre de Common Criteria o ISO-15408.
En el año del 2005 se actualizaron los CC dando origen a CC versión 2.2 también conocido como ISO-15408:2005
En el año del 2005 se actualizaron los CC dando origen a CC versión 2.2 también conocido como ISO-15408:2005
ISO 17799.
El estándar de seguridad de la información ISO 17799, es
descendiente del BS 7799 – Information Security Management Standard – de
la BSI (British Standard Institute) que publicó su primera versión en
Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999,
consiste de dos partes:
El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:
- Parte 1. Código de prácticas.
- Parte 2. Especificaciones del sistema de administración de seguridad de la información.
El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:
- Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.
- Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
- Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.
ISO 27000.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO (International Organization for Standardization) e
IEC (International Electrotechnical Commission), que proporcionan un
marco de gestión de la seguridad de la información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña.
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
- ISMS(Information Security Management System).
- Valoración de Riesgo.
- Controles.
- ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.
- ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
Un servicio de seguridad es aquel que mejora la seguridad de un sistema
de información y el flujo de información de una organización. Los
servicios están dirigidos a evitar los ataques de seguridad y utilizan
uno o más mecanismos de seguridad para proveer el servicio.
Clasificación.
Una clasificación muy utilizada de los servicios de seguridad es la siguiente:
Clasificación.
Una clasificación muy utilizada de los servicios de seguridad es la siguiente:
- Confidencialidad
- Autenticación
- Integridad
- No repudio
- Control de acceso
- Disponibilidad
No hay comentarios:
Publicar un comentario